ECB avslutar stresstest om cyberresiliens

European central banks pressmeddelande 26.7.2024:

• I ett stresstest har man testat hur banker skulle agera vid en allvarlig men realistisk cybersäkerhetsincident och återhämta sig ifrån den
• 109 banker testades, varav 28 genomgick mer omfattande tester
• Resultaten kommer att användas som underlag i ECB:s översyns- och utvärderingsprocess 2024

Europeiska centralbanken avslutade i dag sitt stresstest om cyberresiliens, där man undersökte hur bankerna skulle agera vid en allvarlig men realistisk cybersäkerhetsincident och klara av att återhämta sig från den. Överlag visade stresstestet att bankerna har rutiner för hur man ska agera och återhämta sig men att det fortfarande finns utrymme för förbättringar. Resultaten kommer att användas som underlag i 2024 års översyns- och utvärderingsprocess (ÖUP) och har gett bankerna ökad förståelse för styrkorna och svagheterna i sina cyberresiliensramar.

Testet inleddes i januari 2024 och bestod av ett fiktivt stresstestscenario, där inga förebyggande åtgärder hade fungerat och ett cyberangrepp hade stor påverkan på databaserna i de olika bankernas centrala system. Syftet var främst att se hur bankerna skulle agera vid ett cyberangrepp och klara av att återhämta sig, snarare än hur de skulle förhindra ett sådant angrepp.

Att upptäcka och åtgärda brister i bankernas ramverk för operativ motståndskraft, bland annat med avseende på cyberrisker, är en av tillsynsprioriteringarna för ECB:s gemensamma tillsynsmekanism 2024–2026. Det beror på att antalet cyberincidenter som bankerna under tillsyn anmäler till ECB på sista tiden har stigit kraftigt, vilket bland annat beror på ökande geopolitiska spänningar liksom utmaningar i samband med digitaliseringen av banksektorn.

Det var 109 banker under ECB:s direkta tillsyn som genomgick testet. Alla bankerna fick svara på frågor och lämna in dokumentation som sedan analyserades på ECB. Därefter valdes 28 banker ut som fick genomgå mer omfattande tester. De senare ombads att testa återställningen av IT-systemen på riktigt och tillhandahålla bevis på att man hade klarat det. De fick även besök av tillsynsmedarbetare. De banker som fick genomföra dessa tester hade olika affärsmodeller och fanns på olika platser geografiskt så att man kunde täcka in en stor del av banksystemet i euroområdet och säkerställa tillräcklig samordning med annat tillsynsarbete.

För att testa sitt agerande i scenariot skulle bankerna visa sin förmåga att

• aktivera sina krishanteringsplaner, innehållande bland annat interna krishanteringsrutiner och kontinuitetsplaner,
• kommunicera med alla externa intressenter, som kunder, tjänsteleverantörer och brottsbekämpande myndigheter,
• göra en analys av vilka tjänster som skulle påverkas och hur,
  vidta åtgärder för att minska konsekvenserna, som tillfälliga lösningar som
• gör att banken kan upprätthålla sin verksamhet under den tid som behövs för att få igång IT-systemet helt och hållet igen.

För att testa sin förmåga att återhämta sig från scenariot skulle bankerna visa att de kunde

• aktivera sina återhämtningsplaner, som bland annat ska innefatta hur man återställer säkerhetskopierade data och samverkar med tredjepartsleverantörer av kritiska tjänster kring hur man ska hantera incidenten,
• återställa och få igång de drabbade delarna,
• dra lärdomar av testerna, genom att exempelvis se över sitt agerande och sina återhämtningsplaner.

ECB ämnar fortsätta att arbeta med de banker man utövar tillsyn över för att stärka deras ramverk för cyberresiliens. Därför kommer ECB att uppmuntra bankerna att fortsätta arbeta för att leva upp till tillsynsförväntningarna genom att bland annat se till att de har lämpliga driftskontinuitets-, kommunikations- och återhämtningsplaner innehållande lämplig mängd cyberriskscenarier av varierande slag. Bankerna bör även ha förmåga att uppnå sina egna återhämtningsmål, göra en grundlig bedömning av sitt beroende av tredjepartsleverantörer av kritiska tjänster och göra en adekvat uppskattning av de direkta och indirekta förlusterna vid ett eventuellt cyberangrepp.

Resultaten från testet kommer att användas som underlag i 2024 års ÖUP, där de enskilda bankernas riskprofiler undersöks. Stresstestet om cyberresiliens handlar inte om bankernas kapital, så resultatet påverkar inte bankernas pelare 2-vägledning. De enskilda bankerna har fått återkoppling om stresstestet, och resultaten kommer att följas upp med dem. I vissa fall har bankerna redan förbättrat sig eller planerar att rätta till de brister som uppdagades i testerna.

Frågor från media kan riktas till Clara Martín Marqués, tfn: +49 69 1344 17919 eller clara.martin_marques(at)ecb.europa.eu.

Se också

• FAQ on 2024 cyber resilience stress test
• Blogg: Enhancing banks’ resilience against cyber threats – a key priority for the ECB by Anneli Tuominen, Member of the Supervisory Board of the ECB

Anmärkningar

• ECB genomför årliga tillsynsstresstester i enlighet med artikel 100 i kapitalkravsdirektivet och deltar vartannat år i ett EU-omfattande stresstest som samordnas av Europeiska bankmyndigheten. Under de år då Europeiska bankmyndigheten inte har något EU-omfattande stresstest utför ECB ett riktat stresstest med fokus på ett specifikt tema, t.ex. känslighetsanalys av ränterisk i bankboken 2017, känslighetsanalys av likviditetsrisk 2019 och ett klimatriskstresstest 2022.
• I dagsläget utövar ECB direkt tillsyn över 113 banker. De 109 banker som deltog i stresstestet om cyberresiliens var de som stod under ECB:s direkta tillsyn när testet inleddes, med ett fåtal undantag av bankspecifika orsaker, som omstrukturering eller ändring av betydelseklassificeringen.